Експерти з кібербезпеки компанії Juniper Networks виявили нову хвилю кібератак, спрямованих на корпоративні маршрутизатори Session Smart Router (SSR). Зловмисники використовують сумнозвісний ботнет Mirai для систематичного сканування мережі Інтернет у пошуках вразливих пристроїв, які все ще використовують стандартні облікові дані доступу.
Технічні деталі атак та механізми компрометації
Процес компрометації починається з автоматизованого сканування мережі для виявлення маршрутизаторів SSR. При знаходженні пристрою з заводськими налаштуваннями, шкідливе програмне забезпечення автоматично здійснює спробу автентифікації з використанням стандартних облікових даних. Успішний доступ дозволяє операторам ботнету встановлювати контроль над пристроєм та використовувати його для проведення масштабних DDoS-атак.
Хронологія виявлення та масштаби загрози
Перші ознаки зловмисної активності були зафіксовані 11 грудня 2023 року, коли системи моніторингу Juniper Networks зареєстрували аномальну поведінку кількох SSR-платформ. Подальше розслідування виявило, що стандартні облікові дані маршрутизаторів SSR були додані до бази даних ботнету Mirai, що значно розширило потенційний масштаб атак.
Критичні заходи захисту та відновлення
Для захисту від компрометації фахівці з кібербезпеки рекомендують:
– Негайно змінити стандартні паролі на всіх пристроях SSR
– Впровадити систему управління паролями з використанням складних унікальних комбінацій
– Регулярно проводити аудит безпеки на наявність індикаторів компрометації
– Налаштувати системи моніторингу мережевої активності
У випадку виявлення ознак компрометації єдиним надійним методом відновлення безпеки є повне перевстановлення програмного забезпечення маршрутизатора. Це пов’язано з неможливістю точно визначити обсяг внесених зловмисниками змін та потенційно викрадених даних. Лише після повного перевстановлення системи та налаштування нових облікових даних можна гарантувати безпечне функціонування пристрою.
